รั่วอีกแล้ว!! ข้อมูลผู้ใช้ Facebook เกือบ 120 ล้านคนหลุดผ่าน Quiz App

 

เมื่อต้นปีที่ผ่านมา Facebook ได้ตกเป็นจำเลยสังคมและเกิดความเคลือบแคลงเกี่ยวกับประเด็นด้านความเป็นส่วนบุคคล เมื่อมีการค้นพบว่าเจ้าของ Quiz App รายหนึ่งบน Facebook ได้ขายข้อมูลผู้ใช้กว่า 87 ล้านคนให้แก่บริษัทที่ปรึกษาด้านการเมือง ซึ่งเชื่อกันว่าเป็นสาเหตุให้ Donald Trump เป็นผู้ชนะในการเลือกตั้งประธานาธิบดีในปี 2016 ล่าสุด พบว่าเจ้าของ Quiz App อีกราย นามว่า NameTests ได้ทำข้อมูลผู้ใช้ Facebook มากถึง 120 ล้านคนรั่วสู่สาธารณะ ส่งผลให้ใครก็ตามรวมไปถึงแฮ็กเกอร์ที่ค้นพบข้อมูลดังกล่าว สามารถนำไปใช้ประโยชน์ต่อได้ทันที

NameTests.com เป็นเว็บไซต์ที่อยู่เบื้องหลัง Quiz App ยอดนิยมอย่าง “Which Disney Princess Are You?” ซึ่งมีผู้เข้าร่วมเล่นมากถึง 120 ล้านคนในแต่ละเดือน ส่งผลให้เว็บไซต์ดังกล่าวกลายเป็นหนึ่งในผู้ที่รวบรวมโปรไฟล์ของผู้ใช้ Facebook มากที่สุดในโลก แน่นอนว่าข้อมูลที่ได้มาถูกต้องด้วยกฎหมาย เนื่องจากผู้ใช้เลือกยินยอมที่จะเปิดเผยข้อมูลของตนเพื่อเล่นเกมตอบคำถามดังกล่าว

อย่างไรก็ตาม Inti De Ceukelaire นักวิจัยด้านความมั่นคงปลอดภัยพบว่า หลังจากที่เขาลองตอบคำถามผ่าน NameTests App ข้อมูลส่วนบุคคลของเขา เช่น ชื่อนามสกุล วันเกิด เพศ อายุ และอื่นๆ จะถูกเก็บบันทึกลงไฟล์ JSON ซึ่งเว็บไซต์อื่นๆ ที่เปิดบนเบราว์เซอร์เดียวกันสามารถเข้าถึงข้อมูลเหล่านี้ได้เพียงแค่ร้องขอ ส่งผลให้เว็บไซต์อันตรายทั้งหลายสามารถขโมยข้อมูลผู้ใช้ Facebook ไปได้โดยง่าย ถึงแม้ว่าผู้ใช้ดังกล่าวจะลบ App นั้นออกไปแล้วก็ตาม

จากการตรวจสอบพบว่า เว็บไซต์ NameTests มีช่องโหว่นี้ตั้งแค่ช่วงปลายปี 2016 ถึงแม้ว่า Ceukelaire จะไม่ได้กล่าวถึงสาเหตุของปัญหาดังกล่าวที่ทำให้ข้อมูลรั่วไปยังเว็บไซต์อื่นๆ ได้ แต่คาดว่าเกิดจากการตั้งค่า “Access-Control-Allow-Origin” Header Policy บนเว็บไซต์ผิดพลาด ส่งผลให้เว็บไซต์ใดก็ตามสามารถร้องขอเพื่อเข้าถึงข้อมูลบนเว็บไซต์ NameTests ได้

Ceukelaire ได้รายงานปัญหาที่เขาค้นพบไปยัง Facebook ผ่านทาง Data Abuse Bounty Program เมื่อวันที่ 22 เมษายนที่ผ่านมา ซึ่ง Facebook ก็ได้ตอบกลับมาว่าคงใช้เวลาประมาณ 3 – 6 เดือนในการตรวจสอบปัญหาดังกล่าว อย่างไรก็ตาม หลังจากผ่านไป 2 เดือน NameTests ได้แก้ไขปัญหาที่เกิดขึ้นนี้เป็นที่เรียบร้อย แล้วแจ้งมายัง Ceukelaire ว่า ไม่พบหลักฐานว่ามีบุคคลที่สามนำข้อมูลเหล่านี้ไปใช้ในทางที่ผิดแต่อย่างใด

 

Cr. techtalkthai

Post Releases